torstai 29. toukokuuta 2014

Sähkölukitus ilman sähköä

Aika rientää, huhtikuu hurahti näköjään ohi ilman ensimmäistäkään blogipostausta. Ei sillä, että tämän blogin pito olisi mulle jotakin semmoista jota täytyy tehdä. Kirjoitan silloin kuin huvittaa ja on aikaa. Viime aikoina kronos ei ole oikein ollut puolellani. Aika on aika tarkoin käytetty muuan tuotekehitysprojektiin, josta kuulemme vielä lisää...

Ennen kuin mainittu projekti näkee päivänvalon, haluaisin kirjoittaa sähköttömästä sähkölukosta. Toimistomme oviin asennettiin hiljattain uudet lukot. Entiset olivat perinteiset mekaaniset Abloy Exec -merkkiset. Kaikkihan Exec-avaimet tuntee. Ne on juuri ne uusimmasta päästä olevat Abloy-avaimet, joissa on se musta muoviperä. Kuvailu sikseen, tässä kuvalinkki.

Execit ovat mekaanisiksi lukoiksi sangen turvallisia ja ilmeisen vaikeita tiirikoida auki. Kulkuoikeuksien hallinta on kuitenkin työlästä ja kallista erityisesti yrityksissä, koska ovia ja kulkijoita on paljon ja kulkuoikeuksia on eri tasoisia. Yrityksissä erilaiset sähkölukot ovatkin olleet arkipäivää jo kauan. Hyvänä puolena on juuri hallinnan helppous. Kunkin avaimen oikeudet voidaan poistaa tai niitä voi muuttaa muutamalla hiiren klikkauksella.

Perinteisten sähkölukkojen huono puoli on se, että sähkölukot ovat kalliita ja vaativat kiinteän johdotuksen. Jokaiseen oveen ja jokaiseen lukulaitteeseen täytyy johdottaa sekä käyttöjännite että datalinjat. Niinpä sähkölukkoja käyttävissä yrityksissäkin löytyy ovia, jotka lukitaan edelleen puhtaasti mekaanisilla lukoilla. Jokaiseen varaston oveen ei yksinkertaisesti ole järkevää asentaa kalliita sähkölukkoja ja lukulaitteita. Tästä seuraa se, että sähkölukkojen rinnalla on edelleen ylläpidettävä vanha systeemiä, jossa erilaisia mekaanisia avaimia jaetaan niitä tarvitseville.

Tämän ongelman taklaa iLOQ. Konsepti on briljantti. Avain muistuttaa perinteistä mekaanista avainta, mutta juju on siinä, että avaimessa on ohjelmoitava mikrosiru. Kaikki avaimet ovat mekaanisesti saman näköisiä. Avaimen työntäminen lukkopesään generoi varta vasten suunnitellun mekanismin avulla juuri sen verran sähköä kuin tarvitaan mikrosirun lukemiseen avaimesta ja lukituksen käyttämiseen. Ei siis tarvita erillistä lukulaitetta eikä sähköistettyä ovea. Omavoimainen iLOQ-lukkosylinteri voidaan asentaa muutamassa minuutissa kaikkiin mahdollisiin oviin, myös niihin varaston oviin ja jopa sellaisiin paikkoihin, joihin sähköä ei ole edes saatavana. Sähkölukko täysin ilman sähköä, ei paha! Tässä linkki kyseisen, suomalaisen firman sivuilla olevaan iLOQ -lukon esittelyyn.

Tämän postauksen piti alunperin päättyä tähän. Mutta nyt tulee se jutun mielenkiintoisin osuus, nimittäin hakkerointi! Googlatessani lisää tietoa iLOQista törmäsin DefConiin. Se on maailman laajin turvallisuus- ja hakkerointialan konferenssi. Kyseisen järjestön sivuilta selvisi, että myös iLOQ, kuten monet muutkin uudet lukkokeksinnöt, voi olla turvaton.

Juuri tätä on hakkerointi parhaimmillaan. Tiedon tulee olla kaikille avointa. Suurelle yleisöllä tulee avoimesti kertoa olemassa olevien tuotteiden ja järjestelmien turvallisuusongelmista. Selvää on, että yritykset itse eivät sitä mielellään tee, vaan päinvastoin useimmiten tekevät kaikkensa ongelmien piilottelemiseksi ja pilliinviheltäjien vaimentamiseksi. Onhan se kyllä aika mielenkiintoista, miten sormenjälkitunnistukseen perustuva moderni lukko voidaan ohittaa paperiliittimellä viidessä sekunnissa. Lukekaa ja hämmästykää!

4 kommenttia:

  1. Moi Juha, hyvä blogi-kirjoitus tuosta älylukosta. Halusin kuitenkin infota sinulle, että iloq teki juuri päinvastoin kuin useimmat firmat ja kertoivat avoimesti ongelman, korjasivat sen ja heidän lukkoja ja avaimia menee tällä hetkellä kovastikin kaupaksi, ainakin siis lukkoliikkeemme mukaan. Myös me päädyimme vaihtamaan lukot iloqiin sillä kuten itsekin mainitsit, mikrosiru on aivan omaa luokkaansa verraten perinteisiin avaimiin eikä tämä avain tarvitse ollenkaan virtaa toimiakseen! Tuosta korjauksesta löydät tietoa ainakin tältä sivulta http://www.iloq.com/fi/digitaalisen-murroksen-ytimessa/
    t: Make

    VastaaPoista
  2. Hyvä kommentti! Pisteet iLOQille tuosta, he tosiaan ottivat haavoittuvuuden tosissaan ja korjasivat sen.

    Tarkkasilmäinen huomasi DefConin artikkelissakin iLOQin saaman rispektin: "A senior representative of the company told me that Iloq had made certain changes to prevent our methods of bypass, and that those locks will be available within a couple of months. This is an extremely responsible company who clearly should have understood the ramifications of their design failure, from the security perspective."

    Osaatko muuten, Make, sanoa kuinka universaali tuo iLOQin tunniste on? Eli jos esimerkiksi päättäisin vaihtaa kotiini iLOQ-lukot, niin voisinko ohjelmoida firman iLOQ-avaimen toimimaan kotiovissani?
    t.Juha

    VastaaPoista
  3. Katos joo, tuota en artikkelissa huomannut. Minun mielestäni käyttävät universaalia tunnistetta, joten tällöin pystyy kotioveen laittamaan firman avaimen toimimaan. Meillä siis vain firmassa tällä erää iloqin lukot joten varmaksi en osaa sanoa. Olis kyllä aika kutkuttava ajatus liikkua yhdellä avaimella, vielä kun sais autoavaimenkin samaan =)
    t. Make

    VastaaPoista
  4. Kysyin iLOQin jampalta suoraan tuota asiaa. Selvisi, että kaikki iLOQ-avaimet eivät suoraan käy toisiin iLOQ-lukkoihin. Eli ihan universaali se tunniste ei ole.

    iLOQilla on erilaisia lukkoja ja avaimia. Yrityksille ja taloyhtiöille myydään S10 -järjestelmää ja S10-avaimia ei voi koodata ristiin. Edes iLOQin kaveri ei osannut sanoa miksi, veikkaan että saattaa liittyä tietoturvaan. Estämällä ristiinkoodaus estetään se, ettei yrityksen avaimia voi edes vahingossa koodata toisen yrityksen oviin.

    Yksityisille myydään Privus-lukkoja. Niissä on rajoite, että yhteen lukkosylinteriin saa toimimaan korkeintaan 32 avainta. Lisäksi Privuksissa on se haaste, että yksittäistä avainta ei voi poistaa "välistä", vaan yhden avaimen hukkuessa kaikki avaimet ja lukot on koodattava uudelleen.

    S10-avain käy kyllä Privus-lukkoon, eli jos hankkii kotiin tai vaikka mökille Privus-lukot, niin työpaikan S10-avaimen voi koodata niihin.

    Vielä yksi kuriositeetti iLOQista. Minua häiritsi, kun toimistomme iLOQ-lukko ei aina aukeakaan ensimmäisellä kerralla. Otin yhteyttä iLOQiin ja valitin ongelmasta. iLOQin tyyppi vastasi kiitettävän ripeästi ja kertoi että avainta ei saa työntää sylinteriin liian nopeasti. Tämä kyllä auttoi ongelmaan, mutta en silti ollut tyytyväinen tilanteeseen vaan rutisin että minusta lukossa on silloin jotakin vikaa. iLOQin edustaja tuli saman tien käymään paikan päällä ja puhuttiin asiasta. Hän myönsi avoimesti, että ongelma on todellinen ja he tekevät kaikkensa yrittääkseen ratkaista sen. Ongelma tulee suoraan lukkosylinterin mekaniikasta. Jos avaimen työntää sisään liian nopeasti, mekanismi ei ehdi mukaan ja sähkö ei siitä avaimen lukemiseen ja lukon avaamiseen. Nyt kun asian tietää, siihen osaa suhtautua. Toivotaan iLOQin lukkosepille, kuten koko firmalle onnea ja menestystä!
    t.Juha

    VastaaPoista

Hei! Blogin asetukset mahdollistavat tällä hetkellä anonyymin kommentoinnin. Toivon silti asiallisuutta. Jos haluat mieluummin antaa suoraa palautetta, mailaa osoitteeseen gemini[at]live.fi. Olisi myös kiva jos anonyyminäkin allekirjoittaisit viestisi tavalla tai toisella, esim. etunimellä tai nimimerkillä.
Kiitos!